Kas tai? Eksperto įžvalgos

Nauja pareiga — vertinti poveikį duomenų apsaugai

Publikuota: 2017-11-06

Bendrajame duomenų apsaugos reglamente yra dar viena naujovė - pareiga atlikti vadinamąjį poveikio duomenų apsaugai vertinimą, kuri atsiranda esant tikimybei, kad duomenų tvarkymo operacijų metu kils didelis pavojus asmenų teisėms ir laisvėms. Čia kalbama ne tik apie pavojų privatumui ir asmens duomenims, nors tai, žinoma, išlieka pagrindinis rūpestis. Žvelgiama plačiau - pavojus gali kilti asmenų žodžio, minties, religijos, saviraiškos laisvėms, nuosavybės, laisvo judėjimo teisėms ir kt.

Šis įpareigojimas taip pat bus taikomas nuo Reglamento įsigaliojimo dienos ir bus skirtas tiek duomenų valdytojams ir tvarkytojams ūkio subjektams (ir juridiniams, ir fiziniams asmenims), tiek valstybinės valdžios institucijoms. Už jo nevykdymą, kaip ir kitais Reglamento pažeidimo atvejais, numatomos milžiniškos baudos.

Poveikio duomenų apsaugai vertinimas (angl. Data Protection Impact Assessment, toliau — DPIA) iš esmės yra ne kas kita, kaip jau žinomas duomenų apsaugos įmonėje, įstaigoje, organizacijoje auditas, kurio metu yra įvertinamos atliekamos operacijos bei ateičiai parenkami tam tikri sprendimai, turintys užtikrinti duomenų subjektų teisių ir laisvių apsaugą duomenų tvarkymo operacijų metu.

Šiuo metu galiojanti pareiga duomenų valdytojams (tvarkytojams), prieš pradedant tvarkyti asmens duomenis, registruotis Asmens duomenų valdytojų registre nuo Reglamento įsigaliojimo dienos yra naikinama, vadinasi, formaliai mažinama ūkio subjektams tenkanti administracinė našta. Tačiau iš tiesų naujasis reikalavimas atlikti DPIA daugumai subjektų bus rimtas iššūkis ir pareikalaus ne tik laiko, tam tikrų žinių, bet ir papildomų finansinių įmonės, įstaigos ar organizacijos resursų.

Kai kalbame apie DPIA, mintyse turime du aspektus. Pirma, duomenų valdytojas (tvarkytojas) turi įsivertinti, ar, prieš pradedant tvarkyti asmens duomenis, jam apskritai yra privaloma atlikti DPIA (be abejo, ūkio subjektas gali atlikti DPIA ir savanoriškai). Antra, jei atsakymas teigiamas, jis turi atlikti ir įgyvendinti patį DPIA bei, jei to konkrečiu atveju reikalauja Reglamentas, tokio vertinimo rezultatus pateikti priežiūros institucijai.

Jau užsiminiau, kad DPIA nėra privalomas visais atvejais, o tik kai duomenų tvarkymo operacijų metu fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus. Savaime suprantama, didelis yra vertinamoji sąvoka, tačiau Reglamentas pateikia nebaigtinį sąrašą kriterijų, kuriuos valdytojui (tvarkytojui) atpažinus savo veikloje būtų laikoma, kad duomenų tvarkymo operacijų keliamas pavojus yra didelis. Tam tikrais itin išimtiniais atvejais, net ir nustačius didelį pavojų, Reglamentas leidžia DPIA neatlikti.

Reglamentas didelį pavojų visuomet sieja su duomenų tvarkymo operacijomis, kurios apima naujų technologijų naudojimą arba yra naujos rūšies operacijos, arba susijusios su duomenų perdavimu už ES ribų. Galioja taisyklė, kad jei duomenų valdytojui (tvarkytojui) kyla abejonių, ar jam poveikio vertinimas yra privalomas, rekomenduojama DPIA atlikti.

Pirma kriterijų grupė apima situacijas, kai duomenų valdytojo (tvarkytojo) veikla yra susijusi su sistemingu ir įvairiapusiu duomenų subjekto asmeninių aspektų automatizuotu vertinimu (įskaitant profiliavimą), kai tai duomenų subjekto atžvilgiu sukelia teisinių pasekmių arba jam daro panašų didelį poveikį. Šių operacijų metu yra siekiama analizuoti arba numatyti tokius duomenų subjekto asmeninius aspektus, kurie yra susiję su duomenų subjekto darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu. Tokių veiklų pavyzdžiai galėtų būti e. parduotuvės atliekama jos klientų pirkimų istorijos analizė, siekiant pasiūlyti individualizuotą produktų krepšelį, arba trumpiausio kelionės maršruto sudarymas ir pasiūlymas programėlės naudotojui, remiantis programėlės surinkta informacija apie jo buvimo vietą, judėjimo greitį, naudojamą transporto priemonę, ir pan.

Antra kriterijų grupė numato, jog DPIA turės būti atliekamas, jei duomenų valdytojo (tvarkytojo) veikla yra susijusi su Reglamente nurodytų specialių kategorijų duomenų tvarkymu dideliu mastu. Tai liečia tiek tam tikrų kategorijų duomenų subjektus, pavyzdžiui, vaikus, psichinėmis ligomis sergančius asmenis, senjorus ir kt., arba tai yra susiję su tam tikrų kategorijų duomenimis, pavyzdžiui, apie teistumą, sveikatą, politines pažiūras, finansinę padėtį, taip pat asmens privatų susirašinėjimą bei tokią asmeniniams poreikiams tenkinti naudojamą informaciją ir duomenis, kaip antai, nuotraukas, užrašus, laikomus „debesyje“ ar kitose duomenų e. kaupyklėse, ir pan. Didelis mastas reiškia, kad yra atliekama tiek ir tokių duomenų tvarkymo operacijų, kuriomis siekiama regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų, kurios galėtų daryti poveikį daugeliui duomenų subjektų.

Trečia kriterijų grupė apima veiklas, kurių metu yra atliekamas sistemingas viešos vietos stebėjimas dideliu mastu. Šis kriterijus padeda užtikrinti tokių valdytojo (tvarkytojo) veiklų kontrolę, kurių metu viešose vietose stebimi duomenų subjektai paprastai nežino, kas juos stebi bei kaip jų duomenys vėliau gali būti panaudojami, nekalbant apie tai, kad esama daug situacijų, kai duomenų subjektai gali nė nežinoti, kad apskritai yra stebimi, pavyzdžiui, vaizdo stebėjimo gatvėse, viešojo transporto stotelėse ir kt. atveju.

Savaime suprantama, nesant didelio pavojaus asmenų teisėms ir laisvėms, arba jei DPIA jau anksčiau buvo atliktas panašaus turinio operacijoms įvertinti ir jos stipriai nesikeitė, arba egzistuoja teisinis pagrindas ES arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojui (tvarkytojui), ir tokia teisė reglamentuoja atitinkamą konkrečią duomenų tvarkymo operaciją ar operacijų seką, pareiga atlikti DPIA neatsiranda.

Kalbant apie tai, kaip DPIA turi būti atliekamas, į pagalbą duomenų valdytojui (tvarkytojui) ateina duomenų apsaugos pareigūnas, jei tokį valdytojas (tvarkytojas) privalo turėti arba savanoriškai nusprendžia turėti. Reglamente yra pateikti kertiniai orientaciniai DPIA atlikimo metodologijos etapai, numatantys, jog vertinime turi būti bent jau:

 

1. aprašomos duomenų tvarkymo operacijos, tvarkymo tikslai;
2. aprašomas duomenų tvarkymo operacijų reikalingumas ir proporcingumas, palyginti su tikslais, ir pateikiamas to vertinimas;
3. įvertinamas pavojus duomenų subjektų teisėms ir laisvėms;
4. aprašomos tokiems pavojams šalinti reikalingos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi Reglamento, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

Naujasis reguliavimas numato pareigą nacionalinėms priežiūros institucijoms (Lietuvoje — Valstybinei duomenų apsaugos inspekcijai) iki 2018 m. balandžio 30 d. sudaryti ir viešai paskelbti duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti DPIA, sąrašą, taip pat ir sąrašą tokių operacijų, kurioms vertinimo atlikimo reikalavimas netaikomas. Susipažinus su šiais sąrašais, ūkio subjektams bus neabejotinai daug paprasčiau įsivertinti, ar jų veiklai reikalingas DPIA, o iki to laiko duomenų valdytojams (tvarkytojams) rekomenduojama pradėti savarankiškai analizuoti savo veiklos procesus ir operacijų turinį jau aptartų kriterijų ir metodologijos etapų kontekste.

Visais atvejais DPIA turės būti atliekamas iš naujo, kai keisis atliekamų procesų ir operacijų turinys. Nesant tokių duomenų valdytojo (tvarkytojo) veiklos pokyčių, rekomenduojama, jog DPIA būtų kartojamas kas treji metai, arba, priklausomai nuo vykdomos veiklos pobūdžio, — ir daug dažniau.

Taigi, kad ir kokį metodą pasirinktų duomenų valdytojas (tvarkytojas), įgyvendindamas anksčiau aptartus etapus ir siekdamas DPIA numatytų tikslų, svarbu, kad poveikio duomenų apsaugai vertinimas nebūtų laikomas dar viena formalia pareiga. Naujuoju reguliavimu siekiama, kad patys valdytojai (tvarkytojai) DPIA suprastų kaip reikšmingą bei naudingą vidinį įmonės, įstaigos, organizacijos procesą, kurio tikslus įmanoma pasiekti tik su sąlyga, kad toks vertinimas yra atliekamas kruopščiai ir teisingai, laikantis Reglamento reikalavimų ir įsiklausant į rekomendacijas.

Rašyti komentarą

Rašyti komentarą

Lietuvoje kuriama startuoliams galinti pagelbėti technologija – neturi analogų pasaulyje Verslo tribūna

Lietuvos banko inicijuotas projektas, kurio metu verslo įmonės kuria blokų grandinės technologija (blockchain...

Lietuvoje – galimai šariatas ? 1

Alkoholio rinkos prievaizdai vėl rado progą pamojuoti kuokomis – šįkart rūstybė nukrypo didžiausios Baltijos...

EP rinkimų mitams sklaidyti pasitelkti ir „Sostų karai“ Premium

Europos Parlamento (EP) rinkimai apaugę mitais, o 97 mln. europiečių rinkėjų dar nežino, už ką balsuos gegužę...

Ministras L. Kukuraitis vairuotojams dienpinigius siūlo mokėti, jeigu jų alga sieks 2 MMA  12

Socialinės apsaugos ir darbo ministro teigimu, ateityje tolimųjų reisų vairuotojams planuojama leisti...

Nauja liberalų politinė jėga vadinsis Laisvės partija  1

Nauja liberalų politinė jėga vadinsis Laisvės partija, pranešė Aušrinė Armonaitė, viena jos steigėjų Seimo...

Verslo aplinka
2019.04.17
Griežtėja elektroninės prekybos taisyklės 

Europos Parlamentas (EP) trečiadienį pritarė taisyklėms, skirtoms apsaugoti vartotojus nuo klaidinimo...

Prekyba
2019.04.17
Interviu su V. P. Andriukaičiu: tikslas – socialinė Europa su didesniu biudžeto kapšu Premium 5

Į prezidentus kandidatuojantis eurokomisaras Vytenis Povilas Andriukaitis įsitikinęs, kad Europos Sąjungos...

Verslo aplinka
2019.04.17
„Alibaba“ įkūrėjas: dirbti 12 val. per parą, 6 dienas per savaitę – palaima Premium 13

Kai vis aktyviau diskutuojama apie darbo savaitės trumpinimą bei tokio pokyčio naudą darbuotojams, Jacko Ma,...

Vadyba
2019.04.17
Kai atliekų sektoriaus kontrolė butaforinė, nukenčia vartotojai 1

Elektronikos ir spartaus skaitmenizavimosi amžių ir jo suteiktą komfortą sekė rūpestis: kur dėsime...

Paslaugos
2019.04.17
D. Grybauskaitė: Lietuva pasirengusi prisidėti atstatant Paryžiaus katedrą 23

Lietuva sukrėsta Paryžiaus Dievo Motinos šventovės tragedija, bet yra pilna ryžto padėti Prancūzijai...

2019.04.17
Viskas apie kandidatus į prezidentus – vienoje vietoje 2

„Verslo žinios“ nori padėti savo skaitytojams geriau pažinti kandidatus ir jų pažiūras svarbiausiais...

Verslo aplinka
2019.04.17
Neišnaudotos galimybės: pusę kuklaus eksporto į Kiniją sudaro baldai ir mediena Premium 1

Net 62% Kinijos įmonių pernai susidūrė su vėluojančiais atsiskaitymais, rodo „Coface“ atlikta apklausa. Vis...

Verslo aplinka
2019.04.17
Kinija atsigauna, bet dar trūksta tvaraus augimo įrodymų

Kinijos ekonomika šį ketvirtį paaugo 6,4%, palyginti su tuo pačiu laikotarpiu pernai. Toks tempas paneigė...

Verslo aplinka
2019.04.17
Lietuvoje kuriami ateities keliai: kur kas atsparesni ir su nanomedžiagomis Verslo tribūna 9

Lietuvos automobilių kelių direkcija, pasinaudodama Europos Sąjungos (ES) investicijų priemone...

Verslo aplinka
2019.04.17
Bambagyslė vis dar tvirta 9

Parlamentarai ir toliau saugo savivaldybių ir jų valdomų įmonių vidaus sandorius – nors ydingą jų praktiką...

Verslo aplinka
2019.04.17
Savivaldybės neskuba atsisakyti sandorių su savo įmonėmis Premium 2

Savivaldybės neatsisako įpročio pirkti paslaugas iš sau pavaldžių įmonių, nors ne kartą skambėjo ir...

Finansai
2019.04.17
Panaikinus sankcijas, „Rusal“ JAV investuoja 200 mln. USD Premium 2

Rusijos aliuminio milžinė „Rusal“ dėl ryšių su oligarchu Olegu Deripaska didžiąją dalį praėjusių metų...

Pramonė
2019.04.17
Lūžių gydymui planuojama naudoti 3D spausdintuvus Verslo tribūna

Vilniaus universiteto ligoninė Santaros klinikos kelia iššūkį verslo atstovams sukurti inovatyvių įtvarų...

Verslo aplinka
2019.04.16
Žalieji sprendimai ateities miestams: mažiau tarši logistika Verslo tribūna 1

Tokiu pavadinimu konferenciją Vilniuje balandžio 12 d. surengė Žaliosios politikos institutas. Renginyje,...

Europos Parlamentas nustatė minimalias teises dirbantiesiems pagal netipines darbo sutartis

Europos Parlamentas (EP) patvirtino naujas Europos Sąjungos (ES) taisykles, kuriomis stiprinamos asmenų,...

Verslo aplinka
2019.04.16

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau